对于网站来说,从安全的角度出发,使用HTTPS协议是必须的。也就是意味着需要SSL证书,而很多新手被五花八门的SSL证书难住了,这里将介绍如何选择SSL证书以及它们有什么区别。
TLS服务器证书
开始本文内容之前,首先要弄明白TLS是什么。
传输层安全性协议 (Transport Layer Security,缩写:TLS),它是使两个联网应用程序或设备能够安全可靠地交换信息的标准。也就是说,从服务器到浏览器之前,如果都使用TLS协议才能安全连接。
现在所有浏览器都支持TLS协议(已完全淘汰的除外),它们都要求服务器提供一个有效的digital certificate(数字证书) 来确认身份以建立安全连接。
服务器通常以域名形式在互联网上提供服务,服务器证书上主体的通用名称就会是相应的域名,相关机构名称则写在组织或单位一栏上。服务器证书(包括公钥)和私钥会安装于服务器(例如Apache、Nginx),等待客户端连接时协议加密细节。
通俗的理解,就是浏览器和服务器通过TLS协议安全连接时,需要一个证书来进行协议加密。
如何选择SSL证书种类
SSL证书分为DV、OV、EV,它们分别是域名型、企业型和增强型。
除了DV(域名型)之外,另外两种证书在申请的时候,除了要对域名所有权进行验证之外,还需要对企业身份进行验证。
EV(增强型)证书还会在浏览器上显示完整的单位名称,例如:xx有限责任公司。
从建设网站的角度来讲,如果仅仅是为了TLS协议需要,也就是实现HTTPS连接的话,DV、OV、EV三种证书是一样的,没有什么区别。
这三种证书中,DV证书是最便宜的,甚至是免费的,如果没有特殊要求,使用DV证书就可以了。除非是一些大型企业或金融等机构平台,需要增强用户对网站的可信度而使用OV或EV证书。
扩展阅读:一文读懂DV SSL、OV SSL、EV SSL三种SSL证书
如何选择SSL证书的域名类型
以上介绍的三种SSL证书,均包含单域名、多域名、泛域名三种域名类型。这个就很好理解了,就是一个证书可绑定的域名限制。
单域名证书仅支持绑定一个二级域名或者子域名,例如:www.zhanzhangb.com、cdn.zhanzhangb.com、a.zhanzhangb.com,仅能绑定其中一个。
多域名证书则支持绑定多个二级域名或者子域名,例如:zhanzhangb.com、www.zhanzhangb.com、abc.com,共计为3个域名,可以使用同一个多域名证书。
泛域名证书支持带通配符的域名,例如:*.zhanzhangb.com,同时包含zhanzhangb.com。
在Apache、Nginx或IIS等WEB服务器中,一个站点只能配置一个SSL证书,所以在选择证书的时候,要根据站点绑定的域名来决定SSL证书的域名类型。
如何选择SSL证书的国密标准或国际标准
国密标准使用SM2 国产密码算法和国密安全协议,这是一种新标准,暂时还未得到所有浏览器的兼容,一般网站不推荐使用,适合对国密合规性有要求的网站。
国际标准支持 RSA 或 ECC 算法,兼容性好、速度快。推荐所有网站使用。
如何选择SSL证书的品牌
在国内市场比较常见的SSL证书品牌有:亚洲诚信(TrustAsia)、GlobalSign、沃通电子(WoTrus)、GeoTrust、SecureSite、腾讯云 DNSPod、Baidu Trust等。
不同品牌的证书价格从免费到几万甚至上十万都有,无论是哪一种品牌,对于网站安全来说,主要是浏览器的兼容情况。其它的价值都是可选的附加价值,例如赔付保额等。
那些大品牌证书之所以值钱,大致有两个原因,其一是根证书得到最广泛的浏览器支持。因为一个新的根证书发布,要得到所有主流浏览器/操作系统支持是一个漫长的过程,就算这些主流浏览器/操作系统都支持了,但以前的旧版本依然不能支持,要等旧版本用户全部升级到新版本又是一个漫长的过程。
另一个原因是证书品牌本身的公信力。假设使用了一个很小众的EV(增强型)证书,在浏览器地址栏上有标识企业完整名称,用户依然会产生怀疑。
这里推荐两个能得到所有主流浏览器支持的免费SSL证书(DV):Let's Encrypt、亚洲诚信(TrustAsia)。
- Let's Encrypt的优缺点:免费支持泛域名,但证书有效期只有90天,到期后需续期或重新申请。
- 亚洲诚信(TrustAsia)的优缺点:有效期1年,但免费版不支持泛域名。
原文地址:https://www.zhanzhangb.com/3458.html